智能工廠安全一體化 第2部分 風(fēng)險評估要求

GB/TXXXXX—XXXX智能工廠安全一體化第2部分：風(fēng)險評估要求本文件規(guī)定了智能工廠安全一體化風(fēng)險評估一般要求、風(fēng)險評估程序、風(fēng)險評估相關(guān)活動、風(fēng)險評估文檔記錄的要求。本文件適用于智能工廠生產(chǎn)系統(tǒng)開展安全一體化風(fēng)險評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20438.1電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求GB/T20438.4電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語GB/T21109（所有部分）過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T35320危險與可操作性分析（HAZOP分析）應(yīng)用指南GB/T41257數(shù)字化車間功能安全要求GB/T41260數(shù)字化車間信息安全要求GB/TXXXX.1智能工廠安全一體化第1部分：一般要求3術(shù)語和定義GB/TXXXX.1中界定的術(shù)語以及下列術(shù)語適用于本文件。3.1傷害harm人身損傷、人的健康損害、財(cái)產(chǎn)或環(huán)境的損害。[來源：GB/T20438.4—2017，3.1.1]3.2危險hazard傷害的潛在根源。[來源：GB/T20438.4—2017，3.1.2]3.3危險狀況hazardoussituation人、財(cái)產(chǎn)或環(huán)境暴露于一個或多個危險源環(huán)境的情況。[來源：GB/T20438.4—2017，3.1.3]3.4GB/TXXXXX—XXXX危險事件hazardousevent可能導(dǎo)致傷害的事件。[來源：GB/T20438.4—2017，3.1.4]3.5傷害發(fā)生的概率與該傷害嚴(yán)重程度的組合。[來源：GB/T20438.4—2017，3.1.6]3.6殘余風(fēng)險residualrisk采取防護(hù)措施以后仍存在的風(fēng)險。[來源：GB/T20438.4—2017，3.1.8]3.7由EUC或由EUC與EUC控制系統(tǒng)相互作用而產(chǎn)生的風(fēng)險。[來源：GB/T20438.4—2017，3.1.9]3.8功能安全風(fēng)險functionalsafetyrisk與特定的危險事件相伴的風(fēng)險。在這種危險事件中用功能安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施來提供必要的風(fēng)險降低。3.9信息安全風(fēng)險informationsecurityrisk特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害。[來源：GB/T20984—2022，3.1.1]3.10目標(biāo)風(fēng)險targetrisk針對特定的危險，考慮了EUC風(fēng)險，及E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施后，所要達(dá)到的風(fēng)[來源：GB/T20438.4—2017，3.1.10]3.11風(fēng)險管理riskmanagement指導(dǎo)和控制組織相關(guān)風(fēng)險的協(xié)調(diào)活動。[來源：GB/T25069—2022，3.168]3.12安全safetyGB/TXXXXX—XXXX沒有不可接受的風(fēng)險。[來源：GB/T20438.4—2017，3.1.11]3.13安全功能safetyfunction針對特定的危險事件，為實(shí)現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險降低措施實(shí)現(xiàn)的功能。[來源：GB/T20438.4—2017，3.5.1]3.14安全完整性safetyintegrity在規(guī)定的時間段內(nèi)和規(guī)定的條件下，安全相關(guān)系統(tǒng)成功執(zhí)行規(guī)定的安全功能的概率。[來源：GB/T20438.4—2017，3.5.4]3.15安全完整性等級safetyintegritylev一種離散的等級（四個可能等級之一對應(yīng)安全完整性量值的范圍。安全完整性等級4是最高的，安全完整性等級1是最低的。[來源：GB/T20438.4—2017，3.5.8]3.16威脅threat可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。[來源：GB/T25069—2022，3.628]3.17脆弱性vulnerability系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)或操作和管理中存在的缺陷或弱點(diǎn)，可被利用來危害系統(tǒng)的完整性或安保策略。[來源：GB/T30976.1—2014，3.1.1]4縮略語下列縮略語適用于本文件。5一般要求5.1評估對象智能工廠安全一體化風(fēng)險評估的對象為：按照GB/TXXXX.1中第5章確定的對象，如圖1所示。GB/TXXXXX—XXXX圖1智能工廠安全一體化風(fēng)險評估對象示意圖5.2評估原則5.2.1智能工廠安全一體化風(fēng)險評估的目標(biāo)是將生產(chǎn)系統(tǒng)運(yùn)行風(fēng)險控制在可容忍范圍。智能工廠安全一體化風(fēng)險評估應(yīng)綜合考慮傳統(tǒng)生產(chǎn)安全危險源、信息安全威脅等因素，其中，信息安全相關(guān)因素考慮宜基于信息安全風(fēng)險評估結(jié)果辨識出的可能導(dǎo)致生產(chǎn)安全影響的威脅。5.2.2智能工廠安全一體化風(fēng)險評估，可在智能工廠生產(chǎn)系統(tǒng)安全一體化生命周期的風(fēng)險評估階段、運(yùn)行維護(hù)階段以及修改變更階段開展。6風(fēng)險評估相關(guān)活動6.1確定安全目標(biāo)和風(fēng)險準(zhǔn)則6.1.1應(yīng)根據(jù)滿足業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別智能工廠生產(chǎn)系統(tǒng)的工藝、裝置、設(shè)備、控制系統(tǒng)及管理等方面的不足，確定安全目標(biāo)和風(fēng)險準(zhǔn)則。6.1.2確定目標(biāo)和準(zhǔn)則定義時，應(yīng)考慮以下因素：——分析結(jié)果的使用目的；——需要進(jìn)行分析的智能工廠生產(chǎn)系統(tǒng)的生命周期階段；——可能面臨風(fēng)險的人員或資產(chǎn)，例如：員工，公眾，環(huán)境和系統(tǒng)等；——可操作性問題，包括對業(yè)務(wù)連續(xù)性、產(chǎn)品質(zhì)量等的影響；——通用的法律要求，以及與特定應(yīng)用直接相關(guān)的法律要求；——相關(guān)安全監(jiān)管機(jī)構(gòu)發(fā)布的指南；GB/TXXXXX—XXXX——與應(yīng)用有關(guān)各方的爭議與一致意見；——工業(yè)標(biāo)準(zhǔn)和指南；——來自咨詢機(jī)構(gòu)的最佳獨(dú)立建議。6.2確定風(fēng)險評估范圍風(fēng)險評估范圍及顆粒度的確定，取決于以下幾個因素：——智能工廠生產(chǎn)系統(tǒng)的物理邊界；——可獲得的設(shè)計(jì)說明的詳細(xì)程度；——已經(jīng)完成的危害分析或其他相關(guān)分析活動的范圍；——適用的法規(guī)要求。6.3組建評估管理與實(shí)施工作組6.3.1應(yīng)由具有資質(zhì)的機(jī)構(gòu)在其資質(zhì)證書認(rèn)可的業(yè)務(wù)范圍內(nèi)從事風(fēng)險評估活動。6.3.2風(fēng)險評估工作組成員應(yīng)是獨(dú)立的，項(xiàng)目設(shè)計(jì)的人員或項(xiàng)目組其他相關(guān)人員應(yīng)配合風(fēng)險評估工作組參與風(fēng)險評估活動。6.3.3風(fēng)險評估工作組成員應(yīng)具備相關(guān)經(jīng)驗(yàn)及相關(guān)法律法規(guī)知識，以確保評估結(jié)果的合理可信。6.3.4應(yīng)保證從事風(fēng)險評估的人員具有相應(yīng)的功能安全和/或信息安全知識，并具有相應(yīng)的經(jīng)驗(yàn)?zāi)芰Α?.3.5評估人員應(yīng)按被評估方要求進(jìn)行保密教育，可根據(jù)被評估方要求，雙方簽署保密合同，適情簽署個人保密協(xié)議。6.3.6應(yīng)在項(xiàng)目分析啟動時就明確評估工作組的角色和責(zé)任的定義，并獲得企業(yè)管理者認(rèn)可和工作組組長、成員達(dá)成共識。6.3.7風(fēng)險評估組長應(yīng)審核設(shè)計(jì)，以便確定需要收集的信息和資料，以及評估工作組成員應(yīng)當(dāng)具備的技能。并制定里程碑形式的行動計(jì)劃以確保相關(guān)建議得到及時落實(shí)。6.3.8組成風(fēng)險評估工作組的每一名成員都應(yīng)賦予明確的職責(zé)，以確保在包括相關(guān)的技術(shù)、操作技能和經(jīng)驗(yàn)的人員足夠的前提下應(yīng)當(dāng)盡可能的少。6.3.9所有的風(fēng)險評估工作組成員都應(yīng)有足夠的風(fēng)險分析知識，確保有效參與分析，必要時應(yīng)經(jīng)過適當(dāng)?shù)呐嘤?xùn)達(dá)到此要求。6.3.10推薦的風(fēng)險評估工作組成員構(gòu)成，包括：——風(fēng)險評估組長；——記錄員；——項(xiàng)目設(shè)計(jì)人員；——用戶；——專家；——運(yùn)行維護(hù)人員（代表）。6.4評估資料準(zhǔn)備GB/TXXXXX—XXXX在正式開始評估之前，應(yīng)保證能夠獲取最完整的可用設(shè)計(jì)資料，有紕漏或不完整的資料應(yīng)在分析開始前得到糾正。在分析的計(jì)劃階段，由熟悉設(shè)計(jì)的人員根據(jù)設(shè)計(jì)資料對節(jié)點(diǎn)、要素及特性進(jìn)行識別。應(yīng)考慮以下方面：——設(shè)計(jì)文件。設(shè)計(jì)文件應(yīng)至少包括以下項(xiàng)，其內(nèi)容應(yīng)清晰無歧義，并經(jīng)過審批及有明確的日期標(biāo)注：●對于所有系統(tǒng)：設(shè)計(jì)要求和描述，流程圖，功能塊圖，控制圖，電路圖，工程數(shù)據(jù)表，布置圖，公用工程規(guī)格，操作和維修要求；●過程系統(tǒng)：管道和儀表流程圖，材料規(guī)格和設(shè)備標(biāo)準(zhǔn)、管道和系統(tǒng)平面布置圖；●可編程電子系統(tǒng)：數(shù)據(jù)流程圖，面向?qū)ο笤O(shè)計(jì)框圖，狀態(tài)轉(zhuǎn)換框圖，時序圖及邏輯圖?！治鰧ο蟮倪吔绾驮谶吔缣幍慕缑?；——系統(tǒng)運(yùn)行的環(huán)境；——操作和維修人員的資質(zhì)，技能和經(jīng)驗(yàn)；——程序和/或操作規(guī)程；——操作和維修經(jīng)驗(yàn)和對類似系統(tǒng)的危險認(rèn)知；——業(yè)務(wù)戰(zhàn)略及管理制度；——主要的業(yè)務(wù)功能和要求；——網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；——主要的硬件、軟件；——數(shù)據(jù)和信息；——系統(tǒng)和數(shù)據(jù)的敏感性；——支持和使用系統(tǒng)的人員；——工廠所處環(huán)境的氣象水文材料；——分析會議文件●評估記錄文件。含記錄表、適用的記錄項(xiàng)等；●分析所需的參考資料、事故事件案例集、數(shù)據(jù)資料、以往的評估報(bào)告、被評估單位的歷史事故事件分析報(bào)告等；●根據(jù)評估方提供的設(shè)計(jì)等資料，對評估范圍做區(qū)域劃分，并清晰每個區(qū)域的設(shè)計(jì)意圖和構(gòu)——其他相關(guān)文件。6.5選擇評估工具和方法應(yīng)綜合考慮生命周期階段、分析目標(biāo)、所能獲得的信息等內(nèi)容，選擇風(fēng)險評估工具和方法。6.6制定風(fēng)險評估計(jì)劃在正式開始評估之前，應(yīng)制定并發(fā)布一份風(fēng)險評估計(jì)劃，包括以下內(nèi)容：——評估組織：包括評估工作組成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；——工作計(jì)劃：風(fēng)險評估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；——時間進(jìn)度安排：項(xiàng)目實(shí)施的時間進(jìn)度安排。7風(fēng)險評估程序GB/TXXXXX—XXXX7.1風(fēng)險評估流程在完成第6章要求的相關(guān)活動后，應(yīng)按圖2所示流程開展智能工廠安全一體化的風(fēng)險評估。風(fēng)險識別風(fēng)險識別危險識別（包括：傳統(tǒng)生產(chǎn)危險源等）<<威脅和脆弱性識別初始風(fēng)險分析初始風(fēng)險分析殘余風(fēng)險分析殘余風(fēng)險分析<<圖2智能工廠安全一體化風(fēng)險評估流程GB/TXXXXX—XXXX7.2節(jié)點(diǎn)劃分7.2.1節(jié)點(diǎn)劃分要求為便于分析，可將系統(tǒng)分成若干節(jié)點(diǎn)，各個節(jié)點(diǎn)的設(shè)計(jì)意圖應(yīng)能充分定義，應(yīng)滿足以下要求：——結(jié)合智能工廠生產(chǎn)系統(tǒng)的對象特點(diǎn)，劃分節(jié)點(diǎn)?！?jié)點(diǎn)劃分，應(yīng)考慮分析范圍內(nèi)的所有設(shè)施、設(shè)備，遵循既不重復(fù)，又不遺漏的原則。——所選節(jié)點(diǎn)的大小，取決于系統(tǒng)的復(fù)雜性和危險的嚴(yán)重程度。節(jié)點(diǎn)劃分不宜過大或過小。復(fù)雜度高或危險性高的系統(tǒng)可劃分成若干較小的節(jié)點(diǎn)，簡單的或低危險性系統(tǒng)可劃分成若干較大的節(jié)點(diǎn)，以加快分析進(jìn)程?！總€節(jié)點(diǎn)的范圍，應(yīng)包括分析對象中的一個或多個功能系統(tǒng)。7.2.2節(jié)點(diǎn)描述要求節(jié)點(diǎn)應(yīng)有編號，可采取統(tǒng)一的節(jié)點(diǎn)編號方式。節(jié)點(diǎn)描述一般包括：節(jié)點(diǎn)范圍及工藝流程簡單說明、主要設(shè)備位號、管線和設(shè)備的設(shè)計(jì)參數(shù)、安全閾值等。7.3偏差確定7.3.1為劃分的每個節(jié)點(diǎn)確定需要考慮的關(guān)鍵被控工藝參數(shù)及操作步序，將其與引導(dǎo)詞組合，確定有意義的偏差及其含義。7.3.2針對確定的每一個偏差，確定導(dǎo)致偏差的誘因，進(jìn)行危險識別、威脅和脆弱性辨識。偏差的確定方法可參見GB/T35320。7.4危險識別7.4.1應(yīng)通過危險識別形成一份危險、危險狀態(tài)和危險事件清單，該清單能夠描述危險狀態(tài)可能在何時以何種方式導(dǎo)致傷害的事故場合。7.4.2在進(jìn)行危險識別時，應(yīng)開展：——對智能工廠生產(chǎn)系統(tǒng)生命周期階段的識別，包括：●修改和變更?！獙\(yùn)行模式的識別，包括但不限于：GB/TXXXXX—XXXX●緊急停止；●暫?；蜴i定后的恢復(fù)運(yùn)行；●非計(jì)劃停機(jī)后的重新啟動；●故障查找/排除?！獙に囇b置/設(shè)備的可能的狀態(tài)的識別，包括：●正常運(yùn)轉(zhuǎn)；●功能失效?！獙Ψ穷A(yù)期的人員行為，或合理可預(yù)見的誤操作的識別，包括：●過程/機(jī)器失控；●異常發(fā)生時的人員條件反射行為；●操作人員未嚴(yán)格按照作業(yè)流程有意或無意導(dǎo)致的行為；●非專業(yè)操作人員/動物的行為（如兒童、殘疾人、小動物）等?！獙侠砜深A(yù)見的情況下，其他危險的識別，包括：●過程危險；●機(jī)械危險；●電氣危險；●熱危險；●噪聲危險；●振動危險；●輻射危險；●物料/物資產(chǎn)生的危險；●人機(jī)工效學(xué)危險；●與環(huán)境有關(guān)的危險等?！渌惓＿\(yùn)行情況的識別。7.5威脅和脆弱性辨識7.5.1威脅辨識7.5.1.1宜根據(jù)智能工廠及其生產(chǎn)系統(tǒng)自身的特點(diǎn)、發(fā)生的歷史安全事件記錄等，辨識智能工廠的所有潛在威脅。7.5.1.2可采用分類的方式，基于威脅來源，或基于獲得系統(tǒng)訪問權(quán)限的機(jī)制，進(jìn)行威脅辨識。智能工廠生產(chǎn)系統(tǒng)的威脅分類，可參考相關(guān)標(biāo)準(zhǔn)或附錄B。7.5.1.3根據(jù)威脅來源，智能工廠面臨的信息安全威脅，可分為內(nèi)部信息安全威脅、外部信息安全威脅。其中，內(nèi)部信息安全威脅是由允許訪問網(wǎng)絡(luò)制造系統(tǒng)的人造成的，可能是員工、承包商或第三方（例如，集成商、服務(wù)提供商），內(nèi)部攻擊可進(jìn)一步細(xì)分為故意的、無意的。外部信息安全威脅是由不允許邏輯或物理訪問控制系統(tǒng)的人構(gòu)成的，可能是競爭對手、國家、黑客、網(wǎng)絡(luò)罪犯集團(tuán)等。GB/TXXXXX—XXXX7.5.1.4基于威脅來源，智能工廠生產(chǎn)系統(tǒng)面臨的信息安全威脅，包括但不限于：——內(nèi)部無意的威脅（例如，不知不覺地插入了一個受感染的USB）；——內(nèi)部故意的威脅（例如，心懷不滿的員工）；——外部一般/非熟練人員威脅（例如，腳本小子）；——外部有目標(biāo)的/有技能的威脅（例如，網(wǎng)絡(luò)罪犯、技能展示——外部攻擊行為威脅（例如，高級持續(xù)威脅，民族國家）。7.5.1.5基于獲得系統(tǒng)訪問權(quán)限的機(jī)制，智能工廠生產(chǎn)系統(tǒng)面臨的信息安全威脅，包括但不限于：——社會工程威脅（如，網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚——通信威脅（例如，拒絕服務(wù)，以及中間信息）；——供應(yīng)鏈威脅（例如，服務(wù)提供者的破壞）；——物理訪問威脅（例如，登錄到無防護(hù)的工作站——軟件威脅（例如，利用一個已知的軟件漏洞）；——硬件威脅（例如，將USB連接到不安全的端口）。7.5.1.6在識別出威脅之后，宜詳細(xì)羅列出每條威脅的信息，包括：——威脅來源；——威脅來源的技能水平、動機(jī)、資源等；——可能的威脅場景、途徑和載體；——潛在受影響的資產(chǎn)。7.5.1.7智能工廠可能面臨的潛在威脅示例，見附錄B。7.5.2脆弱性辨識7.5.2.1應(yīng)識別與智能工廠生產(chǎn)系統(tǒng)的每個節(jié)點(diǎn)內(nèi)與各偏差相關(guān)的系統(tǒng)和設(shè)備的脆弱性。7.5.2.2智能工廠生產(chǎn)系統(tǒng)的脆弱性，可參考相關(guān)標(biāo)準(zhǔn)或類似系統(tǒng)/產(chǎn)品的脆弱性進(jìn)行分析。7.5.2.3智能工廠生產(chǎn)系統(tǒng)的脆弱性，可分為兩大類：——工業(yè)自動化系統(tǒng)的常見脆弱性。包括：無線通信、自動化系統(tǒng)集成導(dǎo)致的脆弱性等。——智能工廠生產(chǎn)系統(tǒng)的特定脆弱性。包括：大量移動設(shè)備接入、聯(lián)網(wǎng)應(yīng)用程序、遺留系統(tǒng)等導(dǎo)致的脆弱性等。）：GB/TXXXXX—XXXX7.6危險事件分析7.6.1應(yīng)明確合理可預(yù)見情況下，工藝裝置、受控設(shè)備、控制系統(tǒng)等的危險和危險事件。7.6.2應(yīng)分析并明確已確定的危險/威脅，導(dǎo)致危險事件發(fā)生的事件順序。7.6.3分析威脅和脆弱性作為危險事件的一種起始原因的可能性，中間事件以及事件順序也應(yīng)被辨識明確。針對識別出的每一項(xiàng)威脅，應(yīng)全面梳理攻擊路徑，識別所有潛在的危險事件，并分析至最終后果。7.6.4應(yīng)制定人員失誤概率評估的統(tǒng)一規(guī)則，并在分析時嚴(yán)格執(zhí)行。7.6.5一個危險/威脅，經(jīng)過危險事件轉(zhuǎn)化為危險狀況，進(jìn)而產(chǎn)生傷害的示例，如下。表1危險、危險事件、危險情況和傷害示例注：危險導(dǎo)致危險事件的分析，可參見GB/T41257、GB/T35320。威脅導(dǎo)致危險事件的分析，可參見GB/T41260。7.7危險事件發(fā)生可能性分級7.7.1危險事件發(fā)生可能性7.7.1.1應(yīng)評估已確定的危險事件的發(fā)生可能性。7.7.1.2危險事件的發(fā)生可能性，應(yīng)具有合理可信的來源。對于由威脅導(dǎo)致的危險事件的發(fā)生可能性，可結(jié)合具體的威脅場景，基于以下方法進(jìn)行評估：——基于攻擊者的動機(jī)、能力；——基于攻擊者的動機(jī)、資源、知識；——基于攻擊者的動機(jī)、能力、資源；——基于攻擊者的攻擊潛力AP；——基于資產(chǎn)暴露度與脆弱性程度。7.7.1.3如果缺乏類似系統(tǒng)的實(shí)際攻擊信息，也可通過估計(jì)危險事件的每年發(fā)生次數(shù)來評估發(fā)生可能性，具體見附錄C。7.7.1.4在評估危險事件發(fā)生可能性時，應(yīng)不考慮保護(hù)措施或防護(hù)設(shè)施的作用，并考慮以下內(nèi)容：GB/TXXXXX—XXXX——原則上，應(yīng)為每一對辨識出的“原因（危險/威脅）——危險事件”評估發(fā)生可能性。有時候，若在足夠經(jīng)驗(yàn)的基礎(chǔ)上，可以選擇影響最大的幾對“原因（危險/威脅）——危險事件”評估，而略去明顯低一個數(shù)量級以上的原因。——對于在一定條件下成立的“原因（危險/威脅）——危險事件”對，應(yīng)做條件修正。7.7.2危險事件發(fā)生可能性等級劃分7.7.2.1應(yīng)根據(jù)危險事件的發(fā)生可能性，確定危險事件的發(fā)生可能性等級。7.7.2.2危險事件發(fā)生可能性等級的定義和選擇，應(yīng)符合國家、行業(yè)、企業(yè)相關(guān)標(biāo)準(zhǔn)或規(guī)范要求。7.7.2.3智能工廠危險事件發(fā)生可能性分級示例，見附錄C。7.8后果分析7.8.1在進(jìn)行智能工廠危險事件的后果分析時，應(yīng)參考以前類似危險事件的相關(guān)數(shù)據(jù)信息，或基于現(xiàn)場實(shí)際情況的模擬仿真預(yù)計(jì)，或結(jié)合調(diào)查問卷等方式，除考慮傳統(tǒng)的生產(chǎn)安全相關(guān)事件后果（人員、環(huán)境、經(jīng)濟(jì)、聲譽(yù)、運(yùn)行等方面的影響），還應(yīng)考慮可用性（例如：業(yè)務(wù)中斷、惡意控制、需要時安全功能無法執(zhí)行等）、完整性（例如：設(shè)備損壞、性能降級、數(shù)據(jù)篡改、安全功能誤操作等）、保密性（例如：數(shù)據(jù)泄露等）等后果?！獢?shù)據(jù)泄露等。7.8.2在進(jìn)行智能工廠危險事件的后果影響范圍識別時，應(yīng)分析至最終后果。7.9后果嚴(yán)重程度分級7.9.1應(yīng)評估已確定的智能工廠危險事件的后果嚴(yán)重程度，并根據(jù)后果嚴(yán)重程度，確定后果嚴(yán)重程度等級。7.9.2智能工廠危險事件的后果及其嚴(yán)重性等級的選擇和確定，應(yīng)符合國家、行業(yè)、企業(yè)相關(guān)標(biāo)準(zhǔn)或規(guī)范要求，并具有合理可信的來源。7.9.3在開展智能工廠危險事件后果嚴(yán)重性評估和等級劃分過程中，應(yīng)注意對于在一定條件下引起的后果，需要做條件修正。7.10初始風(fēng)險評估7.10.1根據(jù)智能工廠危險事件的發(fā)生可能性，以及后果嚴(yán)重程度，計(jì)算危險事件初始風(fēng)險。7.10.2根據(jù)智能工廠的安全目標(biāo)和風(fēng)險準(zhǔn)則，以及選定的風(fēng)險評估工具，判定風(fēng)險等級。GB/TXXXXX—XXXX7.10.3對于判定出的不可容忍風(fēng)險（如中高風(fēng)險，或數(shù)字超過可容忍風(fēng)險值的風(fēng)險等則需進(jìn)一步開展7.11至7.13中要求的內(nèi)容。7.10.4對于判定出的可容忍風(fēng)險（如低風(fēng)險，或低于可容忍風(fēng)險值的風(fēng)險等則可根據(jù)情況決定是否繼續(xù)開展7.11至7.13中要求的內(nèi)容。7.11風(fēng)險降低措施分析7.11.1應(yīng)分析出可以避免危險事件發(fā)生，或者避免事件的不期望后果出現(xiàn)的所有功能安全保護(hù)措施、信息安全防護(hù)措施，明確保護(hù)功能或防護(hù)功能，并分析判斷這些措施之間的影響或關(guān)聯(lián)關(guān)系。7.11.2對于在一定條件下起作用的功能安全保護(hù)措施、信息安全防護(hù)措施，應(yīng)逐條辨識條件因素，并判斷條件因素跟功能安全保護(hù)措施/信息安全防護(hù)措施之間、條件因素之間、條件因素跟危險事件之間、條件因素跟后果之間的關(guān)系。計(jì)算保護(hù)/防護(hù)能力時，需要根據(jù)獨(dú)立性情況做修正。7.12保護(hù)/防護(hù)能力評估7.12.1辨識每一個獨(dú)立的功能安全保護(hù)措施/信息安全防護(hù)措施的風(fēng)險降低因子。典型保護(hù)的風(fēng)險降低因子可通過公開文獻(xiàn)或工業(yè)數(shù)據(jù)獲得。7.12.2對于信息安全防護(hù)措施，根據(jù)措施的類型和數(shù)量，可以估計(jì)減輕信息安全事件的發(fā)生可能性。在確定應(yīng)通過措施減少多少可能性時，可以考慮基于經(jīng)驗(yàn)法則。），7.12.3提出功能安全保護(hù)措施的降險能力（SIL或PFD）和信息安全防護(hù)措施的防護(hù)能力（SL）。7.13殘余風(fēng)險評估7.13.1選擇某一個“事件-后果”對，評估經(jīng)功能安全保護(hù)措施/信息安全防護(hù)措施實(shí)現(xiàn)風(fēng)險降低后的危險事件發(fā)生可能性，或者后果嚴(yán)重程度，并評估危險事件的殘余風(fēng)險。7.13.2根據(jù)安全目標(biāo)和風(fēng)險準(zhǔn)則，判定風(fēng)險等級。若風(fēng)險在可容忍范圍內(nèi)，則完成。否則，給出意見建議。7.14意見建議7.14.1應(yīng)對不在可容忍范圍內(nèi)的風(fēng)險源，提出意見建議，包括但不限于:——增加功能安全保護(hù)措施/信息安全防護(hù)措施（例如：安全儀表系統(tǒng)、安全閥、防火堤、訪問控制措施、使用控制措施、系統(tǒng)完整性措施、系統(tǒng)保密性措施、風(fēng)險監(jiān)控措施等——更改為更有效/更可靠的功能安全保護(hù)措施/信息安全防護(hù)措施；——通過管理的手段來彌補(bǔ)不足（例如：增加人員培訓(xùn)；供應(yīng)商管理；變更管理；定期開展風(fēng)險評估，基于風(fēng)險復(fù)盤，更新風(fēng)險應(yīng)急預(yù)案等）；——更改工序、工藝、裝置、設(shè)備、網(wǎng)絡(luò)、控制等的原始設(shè)計(jì)，以推動實(shí)現(xiàn)本質(zhì)安全。GB/TXXXXX—XXXX7.14.2提出的意見建議應(yīng)被記錄，并指定責(zé)任人，追蹤執(zhí)行。7.14.3對于信息安全威脅導(dǎo)致的不可容忍風(fēng)險，在提出建議的風(fēng)險降低措施后，應(yīng)同時對該風(fēng)險降低措施進(jìn)行信息安全風(fēng)險評估確認(rèn)其有效性。8風(fēng)險評估文檔記錄8.1.1應(yīng)完整、準(zhǔn)確地記錄評估過程中獲得的信息。8.1.2風(fēng)險評估的記錄文檔，應(yīng)包括危險事件至最終后果的事件鏈，以便其它評估工作組或評估師審查評估過程中作出的假設(shè)，以及當(dāng)場景不能滿足企業(yè)可容忍風(fēng)險時，確認(rèn)采用其它功能安全保護(hù)措施/信息安全防護(hù)措施是否可以防止事件發(fā)生或降低風(fēng)險。8.1.3風(fēng)險評估文檔記錄，可采用多種形式。一個典型的風(fēng)險評估文檔記錄表，見附件A。GB/TXXXXX—XXXX風(fēng)險評估方法風(fēng)險評估方法，可分為定性和定量兩大類。定性的風(fēng)險評估方法示例：PHA/HAZOP、檢查表、FMEA。定量的風(fēng)險評估方法示例：蝴蝶結(jié)、LOPA、定量風(fēng)險分析QRA、半定量SL驗(yàn)證。其中：HAZOP是評估工業(yè)現(xiàn)場過程危害的常用技術(shù)，該技術(shù)是基于使用預(yù)先配置的引導(dǎo)詞來確定過程中斷的可能原因和最終后果。對于信息安全HAZOP，引導(dǎo)詞可被用于識別信息安全被破壞的潛在原因。表A.1為基于HAZOP的安全一體化風(fēng)險示例，表A.2為所采用的風(fēng)險矩陣和可容忍風(fēng)險示例。表A.1基于HAZOP的安全一體化風(fēng)險示例反應(yīng)度高R4.6聯(lián)鎖（SIS2R4.6聯(lián)鎖（SIS1GB/TXXXXX—XXXXR1.32R1.31表A.2所采用的風(fēng)險矩陣和可容忍風(fēng)險示例1234567876543GB/TXXXXX—XXXX21GB/TXXXXX—XXXX威脅示例一種基于表現(xiàn)形式的威脅分類，見下表。表B.1一種基于表現(xiàn)形式的威脅分類設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)無作為或操作失病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟通過采用一些措施,超越自己的權(quán)限訪問非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探賬戶篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配智能工廠生產(chǎn)系統(tǒng)可能面臨的威脅類別示例，見下表。表B.2智能工廠生產(chǎn)系統(tǒng)可能面臨的威脅類別示例GB/TXXXXX—XXXXGB/TXXXXX—XXXX危險事件發(fā)生可能性評估示例C.1基于攻擊潛力AP，估計(jì)危險事件發(fā)生可能性該示例中，由威脅導(dǎo)致的危險事件發(fā)生可能性采用攻擊潛力AP來評估。攻擊潛力AP由所需時間、專業(yè)知識、目標(biāo)信息、目標(biāo)訪問、設(shè)備等因素決定。具體見下表。表C.1攻擊潛力相關(guān)的因素分類通過估計(jì)各個類別因素的數(shù)值，來計(jì)算攻擊潛力AP，具體如下式所示。AP=AP所需時間+AP專業(yè)知識+AP目標(biāo)信息+AP目標(biāo)訪問+AP設(shè)備攻擊潛力AP的等級劃分、以及導(dǎo)致的危險事件發(fā)生可能性劃分，見下表。表C.2攻擊潛力等級劃分及危險事件發(fā)生可能性等級劃分GB/TXXXXX—XXXXC.2基于攻擊者的經(jīng)驗(yàn)、所需設(shè)備、機(jī)會、所需時間，估計(jì)危險事件發(fā)生可能性基于攻擊者的經(jīng)驗(yàn)、所需設(shè)備、機(jī)會窗口、時間，估計(jì)危險事件發(fā)生可能性示例，見下表。表C.2危險事件發(fā)生可能性級等級劃分示例C.3基于資產(chǎn)暴露度與脆弱性，估計(jì)危險事件發(fā)生可能性基于資產(chǎn)暴露度與脆弱性，估計(jì)危險事件發(fā)生可能性示例，見下表。表C.3危險事件發(fā)生可能性級等級劃分示例